Las reglas de IP-Firewall del MiKrotik sirven para abrir o bloquear puertos tanto desde fuera de la red (Internet) hacia dentro de nuestra red como dentro de nuestra red.
Como podremos observar los puertos son enunciados uno a uno separados por comas y si son por ejemplo son continuos como el 80,81,82,83,84,85,86 los ponemos como del 80-86
Podemos por tanto abrir los puertos clásicos o específicos para algún aparato, ejemplo:
- 21 ftp
- 80 http
- 443 https
- 1194 vpn
- 3389 escritorio remoto
- 86 controlador de tira led
Antes de empezar a abrir puertos, ponemos las reglas generales básicas de acceso y funcionamiento de la red interna.
/ip firewall filter
add action=accept chain=input comment="Permitir entrada del Protocolo TCP" \
in-interface=Ether01-WAN protocol=tcp
add action=accept chain=input comment="Permitir entrada del Protocolo UDP" \
in-interface=Ether01-WAN protocol=udp
add action=accept chain=input comment="Permitir Entradas Establecidas" \
connection-state=established in-interface=Ether01-WAN
add action=accept chain=input comment="Permitir Entradas Related" \
connection-state=related in-interface=Ether01-WAN
add action=accept chain=forward comment="Permitir TCP dentro de la RED" \
protocol=tcp
add action=accept chain=forward comment="Permitir UDP dentro de la RED" \
protocol=udp
add action=accept chain=input comment="Permitir el Protocolo PING Limitado" \
in-interface=Ether01-WAN limit=50,5:packet protocol=icmp
add action=drop chain=input comment="Denegar Conexiones Invalidas" \
connection-state=invalid in-interface=Ether01-WAN
/
Entonces ya podemos poner la apertura de puertos que vamos a usar en los diferentes aparatos que necesitemos,.
/ip firewall filter
add action=accept chain=input comment="Port TCP Open" dst-port=\
21,22,80-86,443,1194,3389 in-interface=Ether01-WAN protocol=tcp
add action=accept chain=input comment="UDP OPen 1" dst-port=\
7-9,500,1194,1701,1702,4500,4672,5002-5004 in-interface=\
Ether01-WAN protocol=udp
/
Si queremos habilitar algun protocolo especifico como ipsec para las conexiones L2TP
/ip firewall filter
add action=accept chain=input comment="Permitir Conexion L2TP ipsec-esp" \
in-interface=Ether01-WAN protocol=ipsec-esp
add action=accept chain=input comment="Permitir Conexion L2TP ipsec-ah" \
in-interface=Ether01-WAN protocol=ipsec-ah
/
Cuando hemos acabado con la apertura de puertos toca el cierre del resto de puertos que no estamos usando.
Lo mismo que lo anterior pero quitando los puertos del 500-65535. y estos números por que, muy simple los puertos van del 1 al 65535.
Empezamos desde el 500, ya que, desde 1 al 500 hay muchos protocolos de diferente ámbito así que es recomendable ir probando antes de bloquear esos puertos.
/ip firewall filter
add action=drop chain=input comment="Port TCP Close" dst-port=\
501-1193,1195-3388,3390-65535 in-interface=Ether01-WAN protocol=tcp
add action=drop chain=input comment="Port UDP Close" dst-port=\
22-499,501-1193,1195-1701,1703-4499,4501-4671,4673-5001,5005-65535 in-interface=\
Ether01-WAN protocol=udp
/
Si tenemos alguna ip qie nos este atacando es el momento de bloquearla, si queremos bloquear otra usamos las mismas reglas substituyendo la ip del atacante.
/ip firewall filter
add action=drop chain=input in-interface=1-WAN src-address=88.26.239.150
add action=drop chain=input dst-address=88.26.239.150 in-interface=1-WAN
add action=drop chain=hs-input src-address=88.26.239.150
add action=drop chain=pre-hs-input src-address=88.26.239.150
add action=drop chain=hs-unauth src-address=88.26.239.150
add action=drop chain=hs-input in-interface=1-WAN src-address=88.26.239.150
add action=drop chain=pre-hs-input in-interface=1-WAN src-address=\
88.26.239.150
add action=drop chain=hs-unauth in-interface=1-WAN src-address=88.26.239.150
add action=drop chain=input protocol=ipsec-ah src-address=88.26.239.150
add action=drop chain=input protocol=ipsec-esp src-address=88.26.239.150
/
Ahora podemos hacer el masquerade, pero que es el masquerade.
Pues el masquerade se encarga de decirles a todas las bocas del swich de donde proviene el Internet para que cuando conectemos cualquier aparato a nuestro swich este tenga Internet
Aquí la regla como podeís ver lo ínico que tenemos que decirle es donde esta enchufado el cable donde viene el Internet en este caso en la boca 1 que hemos renombrado como Ether01-WAN.
/ip firewall nat
add action=masquerade chain=srcnat out-interface=Ether01-WAN
/
Otra regla muy simple pero muy muy util es el acceso del Mikrotik desde fuera de la red en esta regla ponemos el puerto de acceso al Mikrotik en este caso el 8000 desde donde esta viniendo la consulta es decir desde internet por lo que vien de la boca Ether1-WAN y la ip de nuestro Mikrotik 192.168.2.1.
/ip firewall nat
add action=dst-nat chain=dstnat comment="Acceso al Microtik por el puerto 8000" \
dst-port=8000 in-interface=Ether01-WAN protocol=tcp to-addresses=\
192.168.2.1 to-ports=8000
/
Pero esta misma regla se podría poner así y seguiría funcionando bien desde fuera de Internet.
/ip firewall nat
add action=dst-nat chain=dstnat comment="Acceso al Microtik por el puerto 8000" \
dst-port=8000 protocol=tcp to-addresses=192.168.2.1 to-ports=8000
/
Entonces por que le ponemos in-interface=Ether01-WAN. Sencillamente para que solo regirija el puerto entrante 8000 de internet.
Si tuviésemos otro Mikrotik en la red con la ip 192.168.2.19 con el puerto por defecto 8000 para acceso via web.
No podríamos acceder al mismo ya que cada vez que intentásemos acceder vía web 192.168.2.19:8000 nos redirigiría al 192.168.2.1:8000.
Otros ejemplos de direccionado de los puertos que hemos ido abriendo a los diferentes aparatos de nuestra red.
/ip firewall nat
add action=dst-nat chain=dstnat comment="Acceso al NAS http por puerto 80" \
dst-port=80 in-interface=Ether01-WAN protocol=tcp to-addresses=\
192.168.2.50 to-ports=80
add action=dst-nat chain=dstnat comment=\
"Acceso al NAS https por Puerto 443" dst-port=443 in-interface=\
Ether01-WAN protocol=tcp to-addresses=192.168.2.50 to-ports=443
add action=dst-nat chain=dstnat comment="Control NAS" dst-port=5000 \
in-interface=Ether01-WAN protocol=tcp to-addresses=192.168.2.50
add action=dst-nat chain=dstnat comment="Accesos al NAS UDP" dst-port=\
7,4672,5002,5004,65001,19998 in-interface=Ether01-WAN protocol=udp \
to-addresses=192.168.2.50
add action=dst-nat chain=dstnat comment="open VPN" dst-port=1194 \
in-interface=Ether01-WAN protocol=udp to-addresses=192.168.2.50
add action=dst-nat chain=dstnat comment="FTP al NAS" dst-port=21 \
in-interface=Ether01-WAN protocol=tcp to-addresses=192.168.2.50
add action=dst-nat chain=dstnat comment="WOL NAS" dst-port=9 in-interface=\
Ether01-WAN protocol=udp to-addresses=192.168.2.50 to-ports=9
add action=dst-nat chain=dstnat comment="Acceso a Camara WEB" dst-port=8080 \
in-interface=1-WAN protocol=tcp to-addresses=192.168.2.157
add action=dst-nat chain=dstnat comment="Controlador LED" dst-port=86 in-interface=1-WAN \
protocol=udp to-addresses=192.168.2.154
/